Приложение-мессенджер Go SMS Pro сливает пользовательские данные, которыми он делится в ходе переписки, в интернет, сообщает портал TechCrunch. Этот сервис может похвастаться внушительными 100 млн установок в Google Play и широко используется юзерами в качестве альтернативы стандартному SMS-менеджеру.
Как оказалось, Go SMS Pro автоматически загружает в сеть любой файл, который пользователь отправил своему собеседнику.
Этому файлу присваивается URL, перейдя по которой можно просмотреть отправленный контент, будь то документ или фотография.
Проблема заключается в том, что эта ссылка ничем не защищена — то есть перейти по ней может любой человек. Более того, они генерируются мессенджером, а значит символы внутри создаются с помощью алгоритмов.
Это означает, что злоумышленник, разгадав принцип формирования таких URL, может открывать любые файлы, передаваемые с помощью Go SMS Pro.
Репортер TechCrunch Зак Уитакер, обнаруживший уязвимость, просмотрел несколько ссылок, которые были сгенерированы приложением, и смог найти в них номер телефона пользователя, скриншот с банковской выписки, подтверждение заказа в магазине с адресом получателя, протокол задержания преступника, а также несколько фотографий, «чуть более откровенных», чем на то рассчитывал Уитакер.
При этом создатели приложения не реагируют на сообщения в электронной почте. Известно, что разработчиков Go SMS Pro уведомили о проблеме несколько месяцев назад, но они так и не исправили эту уязвимость, тем самым поставив под угрозу приватность миллионов своих пользователей.
До тех пор, пока до администрации сервиса не удастся достучаться, ИБ-эксперты рекомендуют отказаться от использования Go SMS Pro, заменив его на аналогичное приложение.
Между тем, другие популярные мессенджеры также нередко становятся жертвами хакерских атак из-за возникших уязвимостей. В июне текущего года стало известно, что на одном из форумов даркнета была обнаружена база данных с информацией о миллионах пользователей Telegram.
Файл весом в 900 мб содержал в себе возможность узнать номера телефонов по никам пользователей мессенджера, а также уникальные идентификаторы юзеров. Точное количество пользователей, чьи данные оказались в руках хакеров, неизвестно. Порядка 70% номеров – иранские, остальные – российские.
Как сообщили в пресс-службе мессенджера, подобные базы собираются мошенниками через злоупотребление встроенной функцией импорта контактов из телефона при регистрации пользователя.
«К сожалению, ни один сервис, позволяющий пользователям общаться с контактами из своей телефонной книги, не может полностью исключить подобный перебор», – заявили представители Telegram.